関連するソリューション
セキュリティサービス
セキュリティ製品
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 藤原 和紀
2026年2月9日、ついにソニーもBD レコーダーの出荷終了を発表しました。1月9日にはTVS REGZAが「REGZAブルーレイ」の生産終了を発表していますので、残るはパナソニックとシャープだけという状況ですが、シャープはパナソニックのOEMという実情を考えると実質的にはパナソニック1社のみです。さらに2026年2月26日にバッファローが2026年7月(予定)をもって、BD ドライブの販売を終了すると発表しました。録画文化も縮小が加速しています。
さて、BD レコーダーをはじめ、近年家庭用家電は急速に高度化し、テレビ、エアコン、冷蔵庫、ロボット掃除機、さらには照明や洗濯機、給湯器に至るまでネットワーク接続機能を備えるようになっています。これらの機器は内部に Linux カーネルやRTOS(リアルタイムOS)を搭載しています。これはメーカーにとって、組み込みOSを一から開発するよりも開発効率・コスト・柔軟性の面で大きなメリットとなり、各社のBD レコーダーもLinuxで動作しています。
一方で、一般消費者が意識していないレイヤーで、新しいセキュリティリスクが静かに積み上がっているということにもなります。
スマート家電は「小さなコンピュータ」である
現代の家電はもはや単純な電気製品ではなく、ネットワーク接続されたコンピュータであるという認識を持つ必要があります。スマート家電は内部にCPU、メモリ、ストレージ、ネットワークスタックを持ち、OS上でアプリケーションが動作します。PCやスマホほどの容量ではないものの、脆弱性・設定不備やアップデート不足といった問題がそのままリスクになります。
恐らく、多くの方は以下のような考えで、リスクについては認識していないと想定されます。
- 汎用OSが使われているとは思わなかった
- メーカーがテストをしているから大丈夫
- 何かあればメーカーが対応してくれる
これに対し、実際にはこうなります。
- 汎用OSが使われているとは思わなかった
家電というとハードウェア制御だろうという思い込みが出てしまいますが、実際にはOSが稼働しており、そのうえでアプリが動いているケースがほとんどです。特に、最近の家電は液晶などで稼働状況など様々なステータスが確認できるようになっていたり、あるいはスマホで確認できたりしますが、このようなものはOSの上で動いています。
- メーカーがテストをしているから大丈夫
メーカーが実施するテストの多くは、機能が正常に動作するかを確認する機能テストです。
ただし、セキュリティに関しては経済産業省が方針を制定し、IPA(情報処理推進機構)が構築・運用するIoT製品セキュリティ要件適合評価及びラベリング制度(JC-STAR)があります。この適合ラベルが付いていれば、一定のセキュリティ基準を満たしているということになります。
IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)
IPA 適合ラベル取得製品リスト
ただし、2025年開始の新制度ですので、シャープを除くと取得している家電メーカーは多くありません。また、日本独自の制度ですので、グローバルに製品を販売するメーカーでは取得の可能性は低いと考えられます。グローバルでは欧州のEN 303 645などがスタンダードになりますので、適合製品と掲示されていれば安全性の目安になります。
- 何かあればメーカーが対応してくれる
家電メーカーは、PSIRT (Product Security Incident Response Team)という、製品に関するセキュリティ問題を専門に扱う組織をもっており、製品に脆弱性があれば対応を行います。
以下は、パナソニックPSIRTの例です。
経済産業省 パナソニックホールディングスにおける 製品セキュリティの取組み
しかし、原則として対応できるのはサポート期限内の製品に限られますので、サポート期限についての確認が必要です。
安全を考えると、PSIRTを持っている企業の製品に揃えた方がいいのですが、全ての会社がPSIRTの存在を公開しているわけではありません。
グローバル企業であれば、EU CRA (Cyber Resilience Act:サイバーレジリエンス法)という、EUで販売される“デジタル要素を含む製品”に対し、設計〜廃棄までのサイバーセキュリティ確保を義務化する新しいEU規則があり、2027年12月に全面適用されます。適用されればデジタル家電の脆弱性公開、更新ポリシー、サポート期間が明確化され、PSIRTの公開も義務化されます。EUの法律ではありますが、グローバルに製品を扱う企業では透明性が向上することが期待できます。
このように、大手メーカーの製品であれば、少なくともサポート期間内は安全に使用できると考えても問題ないでしょう。一方で、サポートページが不明なメーカーの家電は購入しない方が無難です。
Linux カーネル(Android含む)搭載家電のリスク
高度な家電には組み込み用のLinuxが使われます。Linuxは強力で柔軟なOSですが、家電に組み込まれる場合、以下のようなリスクが顕在化します。- アップデートが提供されない、または短期間で終了する
家電メーカーは10年を超えるような長期サポートを提供しません。多くの家電は 2〜8年でファームウェアのアップデートが止まり、脆弱性が放置されます。アップデートが止まると、既知の脆弱性を抱えたまま家庭内ネットワークに接続され続けるというリスクがあります。
- Linuxの脆弱性が家電にも影響する
Linux カーネルやBusyBoxなどの脆弱性は、家電にもそのまま影響します。家電の場合はアップデートが行われなければ、脆弱性は買い替えるまで存在することになります。
なお、組み込みLinuxは外部にポートを解放することはほとんどありませんが、Webでの設定画面でHTTPを開放する、ファイル共有などでSMBを開放するといった動作はありますので、注意が必要です。
- 家電は「攻撃の踏み台」になりやすい
家電はPCほど監視されていないため、攻撃者にとっては 侵入後の隠れ場所として適しています。過去にもMiraiボットネットは、LinuxベースのIoT機器を大量に感染させたことがあります。
RTOS搭載家電のリスク
RTOSは軽量でリアルタイム性に優れますが、セキュリティを前提に設計されていないものが多いという特徴があります。製品としてはLinuxほどの制御は不要で、リアルタイム性を必要とするエアコン、洗濯機、冷蔵庫、電子レンジなどの白物家電に多く使われています。しかし機能やリソースも最低限に限られていますので、マルウェア等の感染リスクは低いと言えます。一方で一旦侵入されるとリモートコード実行可能なボットとして動き続けるリスクがあります。
厄介なのは、近年ネットワーク接続できる製品が増えていますので、外部から攻撃される可能性も上がっているということです。
- メモリ保護が弱いRTOSが存在する
古いRTOSや軽量RTOSは、メモリ保護、プロセス分離、権限管理が弱い場合があります。
- OTAアップデート非対応の家電が多い
RTOS搭載家電はそもそも更新を想定しておらず、アップデート機能がないケースも多いため、脆弱性が見つかっても修正されません。
サプライチェーンの複雑化
家電もグローバルにサプライチェーン化が進んでいます。中国深圳に拠点を置くAlldocubeは、同社が発売したタブレットがマルウェアに感染しているとの指摘を受け、2026年2月27日に調査結果を発表しました。同日にはHeadwolf/Alphawolfも同様にタブレットのマルウェアへの感染を発表しています。原因として「サプライチェーンにおける一部のコンポーネントに存在するファームウェアのセキュリティ脆弱性リスクに関連するもの」と発表しており、ODM(Original Design Manufacturing)先での感染が想定されています。ODMとは「設計+製造」を丸ごと請け負う企業で、供給を受けたメーカーは自社ブランドとして販売を行います。
最近Amazonでよく見かける、同じような製品が複数のブランドから販売されているものは、概ねODMです。
この事象は典型的なサプライチェーンリスクですが、国内のテレビについてもパナソニックは低価格帯のテレビの生産を中国・広東省に本社を持つTCL科技集団に委託しますし、ソニーもテレビ事業は 2027年4月から TCL との合弁会社に移管され、設計・製造・販売を一括で TCL 主導で行う体制になります。つまり、VIERA/BRAVIAブランドの製品でも、特に低価格帯の製品の中身は別物となります。
TCLはテレビ製造でトップクラス企業ですのでマルウェア感染の可能性は低いと考えられますが、可能性はゼロではありません。
家庭内ネットワーク全体への影響
家電の脆弱性は、単体の問題では終わらず、家庭内ネットワーク全体に影響を及ぼす可能性があります。- 感染した家電からPC・NASへの横移動
家電はセキュリティが弱いため、攻撃者はまず家電を狙い、そこから家庭内の他の機器へ侵入します。
- 家電は常時オンラインであるうえに、気づかれにくい
通常、家電は24時間稼働(通電)しているため、攻撃者にとっては常に開いている入り口 になります。また、家電が不正動作しても、ユーザーは気づきにくいという特徴があります。
このため、一度感染すれば長期間外部にデータを流し続けることができますし、潜伏し続け、機会を狙っている可能性があります。
- 社会インフラとしてのIoT家電
実際にネットワーク機器がDDoS攻撃に使われた事例もありますが、家電が大量にネットワークに接続されることで、社会全体の攻撃面が拡大します。
リスクを減らすための現実的な対策
おすすめの対策の第一はIoT用にネットワークを分離することです。VLAN対応ルーターでネットワークを分離する、あるいはIoT用にルーターを分けるとより安全ですが、そこまで費用をかけたくない方はGuest Wi-Fiを使う方法があります。多くのWi-FiルーターはGuest Wi-Fi機能を持っています。Guest Wi-Fiは来客などに公開するためのWi-Fiで、専用のSSIDとパスワードが発行されインターネット以外の家庭内のPC等は参照できないように分離されます。IoT機器をGuest Wi-Fiに接続すれば仮想的に家庭内LANと分離することができますので、万全ではありませんが多少は安心して利用できます。
可能でしたら、サポートの切れた製品はネットワークから遮断してしまうのが安心です。また、少なくとも年に一回くらいはサポートページを確認し、サポート期限を確認するのが良いでしょう。
また、アップデートを必ず適用するようにしてください。自動アップデートができれば、設定しておいた方がよいでしょう。
IoT機器が誰も管理しないまま、ゾンビ化する危険は以前このコラムでも触れましたが、家庭内でもゾンビ機器は増えています。我が家でもすっかり忘れていたAmazon Echoが繋がったままでした。
念のため、DHCPで繋いだまま忘れ去られている機器はないか、ルーターなどのDHCPサーバからIPアドレスの割り当てを定期的にチェックしてみてください。
ただし、家族がいると誰が繋いだ機器かわからないことがしばしば起こりますので、最初からネットワークを分離しておくことをおすすめします。
併せてUPnP(Universal Plug and Play)はOFFにしましょう。UPnPはLAN内の機器が自動でポート開放できる仕組みで、詳しくない方が難しい設定を行うことなくIoT機器をネットに接続することができる反面、知らないうちにポートが開放されてしまうという危険があります。
もう一つ大事なことは、常に情報を仕入れることです。家電を買ったらメーカーに登録することで機器のサポートなどの情報が入手できるサービスを各社やっていますので、製品登録を行うことを推奨します。
昔のイメージでは、家電は総じて長寿命で10年以上使えるケースが多かったように感じます。最近の家電はIoT化が進み、ネットに繋がるのが自然になってきました。ネットのサービスが終了しても冷蔵庫が冷えなくなるわけでも、掃除機が吸わなくなるわけでもないので、そのまま使い続ける方もいるかもしれませんが、メーカーは積極的にサポート情報を発信しない傾向があります。家電のクラウドサービスが終了するのはサポート切れのサインです。その場合はネットワーク機能を切断するようにしてください。
なお、我が家でも厄介なのはNAS等のネットワーク機器です。ネットワークを切るなど分離してしまうとそもそも製品として機能しなくなります。買い替えるにも高価ですので、なるべくサポートの長い機器を使うのが現実的です。
最後に
今までは日本の家電は空調機器を除くと世界市場では存在感が大きくありませんでした。こうした背景もあり、日本の家電メーカーは白物/黒物からの撤退が目立っています。いずれ日本も世界規模で販売しているグローバル家電に置き換わると想定されます。グローバル家電は世界規模に展開されますので、台数が膨大になります。前述したTCLへの製造移管について、TCLの年間出荷台数は3000万台を超えており、日本とは桁が違います。攻撃者にとっては、なるべく台数が多い方が攻撃の効率もリターンも大きくなります。
このコラムを参考に、家電に潜むリスクについて、少しだけ危機感を持ってもらえると幸いです。
それでは次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
